Задать вопрос
ipdemon
@ipdemon
linux

Политики Selinux для процесса, возможно ли?

Друзья, помогите разобраться.
Есть сервер на Debian на котором от не привилегированного пользователя запускаются несколько (до 100 единиц) однотипных процессов в screen'ах. У запускаемого софта есть неприятная особенность — через некую уязвимость пользователь отдельного запущенного экземпляра процесса может получить доступ ко всем директориям и файлам доступным пользователю от имени которого он запущен.
Возможно ли с помощью selinux заблокировать запущеный процесс в директории из которой он запущен?
Chroot — не подойдёт, т.к. полностью перестанет функционировать система управления этими запущенными процессами.
  • Вопрос задан
  • 2714 просмотров
Комментировать
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
BuriK666
@BuriK666
Компьютерный псих
Вам подойдет Grsecurity
Ответ написан
Комментировать
Комментировать
braindamagedman
@braindamagedman
Да, с помощью SELinux такое сделать можно. Исполняемому процессу назначается метка, далее пишется правило, которое разрешает ему обращаться только к ресурсам с определенными метками (контекстами). Далее обращения за пределы разрешенных директорий, несмотря на то, что файловых прав доступа хватает, блокируются ядром.

Попробуйте поискать в сети примеры такой изоляции. Начать можно, например, отсюда.
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Системный администратор Astra Linux
Гринатом Новосибирск
До 60 000 ₽
Системный инженер (Windows/Astra Linux)
Гринатом Новосибирск
До 57 000 ₽
Ведущий инженер Linux
Интер РАО – Управление сервисами Москва
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Прочитать входной файл и сохранить в CSV на языке C++
24 нояб. 2024, в 11:28
1000 руб./за проект
Необходимо поменять пароль в WINDOWS
24 нояб. 2024, в 03:11
500 руб./за проект
Требуется консультация по UX-дизайну казино
24 нояб. 2024, в 01:35
5000 руб./за проект
Ещё заказы